Новые требования, касающиеся перехода критической информационной инфраструктуры (КИИ) РФ на использование российского ПО, вступят в действие в сентябре. Готовы ли российские компании к грядущим проверкам, чем могут грозить нарушения закона, и как извлечь максимум пользы из импортозамещения в ИТ? Об этом рассуждает генеральный директор DCLogic Евгений Шелестюк.
Новые вызовы для консервативного сектора
Осенью 2024 года опрос ИТ-директоровподтвердил, что 75% ИТ-инфраструктуры крупных российских компаний составляют решения зарубежных вендоров. Причем в лидирующем сегменте — госсекторе — показатель уровня импортозамещения достигал 43%, а значит, остальные сегменты в среднем показали результат гораздо меньше 25%.
Еще более красноречивую статистику опубликовала ИБ-компания InfoWatch: по данным Ассоциации по защите информации (BISA), только 7% респондентов обязались вовремя выполнить указ президента РФ «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», который запрещает применять иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры с 1 января 2025 г. Стоит напомнить, что к объектам КИИ, в том числе, относятся информационные и автоматизированные системы управления предприятий энергетики (включая атомную), ТЭК, горнодобывающей, металлургической и химической промышленности.
Ситуация в сфере цифровизации российской промышленности и КИИ, действительно, очень неоднородная. С одной стороны, во многих отраслях есть явные лидеры, которые уже достаточно давно следуют утвержденной стратегии цифровой трансформации на базе импортонезависимых технологий: например, «Росатом» — в энергетике, ММК и «Русал» — в металлургии, «Полюс» — в добывающей промышленности. С другой стороны, многие предприятия до сих пор используют зарубежный софт, а в ряде категорий ПО — самописные системы, которые сложно поддерживать и интегрировать в новый ИТ-ландшафт.
Субъекты КИИ в особенно трудном положении, так как пространства для маневра у компаний с государственным участием заметно меньше. Крупные частные промышленные предприятия пока еще имеют возможность подходить к вопросам импортозамещения гибко и выборочно. И в тех случаях, когда аналогов импортных решений в нашей стране не существует, поддерживают свою ИТ-инфраструктуру с использованием зарубежных продуктов, но без участия вендоров — благодаря высокой квалификации своих инженеров.
Что мешает импортозамещению?
Можно выделить пять основных факторов, негативно влияющих на динамику импортозамещения ИТ в промышленности и выполнение предписаний государства.
Низкий уровень цифрового развития и недостаток компетенций на предприятиях. Долгое время промышленность считалась консервативным сегментом в плане цифровизации, особенно по сравнению с финансовыми организациями, ритейлом и телекомом. В результате последние обладают раздутыми командами ИТ-специалистов, собирая все «сливки» с рынка труда и способствуя значительному росту стоимости квалифицированных специалистов.
Сложность замены существующих решений и интеграции новых продуктов в ИТ-инфраструктуру. Промышленный ИТ-ландшафт предприятий включает в себя большое количество специализированных систем, от решений уровня АСУ ТП до MES и ERP, которые тесно связаны с другими информационными системами (финансовыми, логистическими и т. д.). Заменить такие системы быстро и бесшовно невозможно. Необходимо проводить тщательный анализ рынка, чтобы подобрать решение, которое окажется совместимым с другим критическим и системным ПО. А в процессе внедрения и миграции нужно останавливать производство или синхронизировать этот процесс с технологическими окнами.
Значительные финансовые затраты. Следствием перечисленных выше факторов становится очень высокая стоимость проектов импортозамещения для промышленных предприятий. Финансовые возможности компаний отличаются от отрасли к отрасли. Так, например, недостаток средств для инвестирования в модернизацию испытывают металлургические предприятия, столкнувшиеся со сложностями в сбыте своей продукции. Высокая ключевая ставка ЦБ РФ также осложняет привлечение кредитных средств.
Недостаточная функциональность и качество отечественного ПО. Несмотря на то, что многие российские разработчики давно предлагают зрелые решения (например, средства защиты информации) или оперативно подтянули их до уровня зарубежных (платформы виртуализации, операционные системы, системы унифицированных коммуникаций и т. д.), некоторые категории ПО все еще не могут конкурировать с иностранными аналогами по функциональности, производительности и стабильности (например, классы CAD, Cloud Management Platform).
Сжатые сроки. Для многих компаний установленные сроки перехода на отечественное ПО оказались слишком жесткими. Любой подобный проект требует времени. Нужно выбрать решение, протестировать его, провести конкурс, заключить договор с победителем, написать техническое задание с перечнем требований к продукту, внедрить и увязать с существующими решениями, обучить персонал. На все это требуется от полугода до года.
В результате предприятия даже под давлением регулирующих ведомств стараются отсрочить процесс импортозамещения или подходят к нему формально. Например, компании горнодобывающей отрасли, согласно требованиям Ростехнадзора, должны установить у себя системы локального позиционирования, направленные на обеспечение безопасности рабочих. Часть компаний закрывает эту задачу с помощью систем, допускающих большие (хотя и в рамках нормативов) погрешности позиционирования. Требования выполнены, однако для реальных задач, например, для сбора данных телеметрии, систему использовать нельзя.
Пространство для маневра сокращается
Со вступлением в действие поправок в законодательство и подзаконных актов, конкретизирующих требования и сроки перехода на отечественное программное обеспечение и оборудование на значимых объектах КИИ, следует ожидать более пристального внимания государства к их исполнению. За невыполнение обязательств в установленные сроки возможен штраф до 500 тыс. рублей и уголовная ответственность должностных лиц. Надзорные органы имеют право проводить выездные проверки, запрашивать необходимую документацию, получать удаленный доступ к ИТ-инфраструктуре для оценки соответствия требованиям закона и нормативных актов.
Проверки предприятий КИИ — это комплексный процесс, который включает проверку правильности категорирования, регулярную оценку состояния безопасности, контроль импортозамещения и соблюдение организационных требований. Чтобы быть готовым к проверке, необходимо, в первую очередь, правильно выделить системы и процессы, относящиеся к КИИ. Результаты категорирования передаются в Федеральную службу по техническому и экспортному контролю для проверки и утверждения и после включаются в реестр КИИ. Субъекты КИИ должны регулярно проводить внутреннюю оценку состояния технической защиты информации и безопасности значимых объектов.
Давление усиливается и со стороны зарубежных разработчиков ПО, которые постепенно обрубают возможности продолжать использовать их решения относительно безопасно. Из недавних примеров: компания VMware объявила, что со 2 октября 2025 года прекращается поддержка ESXi 7.x, vCenter 7.x и vSAN 7.x. После этой даты обновления, техническая поддержка, исправления ошибок и патчи, включая те, которые касаются информационной безопасности, предоставляться больше не будут. Не будет и поддержки нового оборудования. А компания Broadcom объявила о прекращении продления контрактов на поддержку продуктов VMware после 2025 года. Российские решения по виртуализации фактически становятся безальтернативными.
Выгода
Несмотря на очевидные сложности, связанные с переходом на российское ПО, у цифровой трансформации на основе отечественных решений есть целый ряд преимуществ, на которые российским компаниям стоит обратить внимание.
1. Передовые технологии уже доступны во многих российских продуктах и позволяют добиться максимальной эффективности бизнес-процессов:
– системы аналитики данных для контроля ключевых бизнес-метрик и операционных показателей в режиме онлайн, оперативного принятия решений и прогнозирования;
– системы на основе искусственного интеллекта и роботизации для снижения нагрузки на персонал;
– системы компьютерного зрения для мониторинга производственных линий, выявления дефектов выпускаемой продукции и обеспечения безопасности;
– беспилотный транспорт для повышения эффективности внутренней логистики предприятия и снижения риска аварий;
– IoT-устройства (датчики на станках, «умные» каски) для повышения эффективности производства и охраны труда.
2. Снижение затрат на приобретение и обслуживание отечественного промышленного ПО достигается за счет государственных преференций (субсидий на покупку, освобождения от уплаты НДС и других налоговых льгот). Так, Российский фонд развития информационных технологий (РФРИТ) разработал систему грантов на реализацию проектов по внедрению отечественных продуктов, сервисов и платформенных решений. И это далеко не единственный пример.
При этом стоимость поддержки многих западных решений ежегодно возрастает. Поскольку вендоры ушли с рынка, заказчикам приходится прибегать к помощи дорогостоящих услуг ИТ-интеграторов или создавать внутренние команды, обладающие нужными компетенциями.
3. Повышение уровня технологической независимости и информационной безопасности предприятия — важный аргумент в пользу внедрения отечественного ПО. У компаний больше нет доверия к надежности и работоспособности зарубежного софта, а вынужденный простой производственной линии даже в течение нескольких минут может принести компании многомиллионные убытки.
4. Усиление технологических партнерств на ИТ-рынке делает намного проще выбор необходимых предприятию отечественных систем. Например, сегодня существует уже большое количество мультивендорных взаимосвязанных инфраструктурных решений, которые состоят из полностью совместимых компонентов. Это могут быть как программные экосистемы, так и программно-аппаратные комплексы.
Крупные заказчики также формируют индустриальные центры компетенций: занимаются тестированиями и пилотными внедрениями российских цифровых продуктов, делятся опытом. Во многих направлениях ИТ уже наработан стек проверенных решений, внедрение которых несет минимальные риски.
Прогноз
Действительно, переход к импортозамещению, а особенно перевод core-систем, — процесс длительный и даже с учетом всех преимуществ затратный. Но долгосрочная выгода заключается в снижении операционных расходов, повышении безопасности данных, увеличении технологической автономии. По нашему опыту, при правильном планировании все вложения окупаются.
Возьмем, к примеру, такое сложное технологическое решение, как MES. С момента проектирования решения до его ввода в промышленную эксплуатацию проходит примерно год. В этот период заказчик определяет, какие требуются доработки во внедренной системе, и делает соответствующий запрос разработчику. Из таких запросов во многом складывается «дорожная карта» развития любого отечественного решения: чем больше обратной связи оставляют заказчики, тем лучше.
Еще год система «учится» работать, собирает первые данные. К концу второго года компания уже может формировать озера данных, использовать их для мониторинга бизнес-метрик, моделирования процессов, предиктивной аналитики, проактивного ТОиР. В результате оптимально настроенная система приносит компании дополнительную эффективность.
Если учесть, что реальное импортозамещение в России началось только в 2022 году, к 2025 году значительная доля заказчиков находится еще только на этапе первоначальной эксплуатации отечественных продуктов, а разработчики начинают более широко собирать обратную связь, которая ляжет в основу «дорожных карт». Так что скоро следует ожидать нового витка развития отечественных продуктов и нового цикла импортозамещения, к которому подключится большинство промышленных предприятий.